Introdução
Os vírus de computador tendem a prender nossa atenção. De um lado, expõem nossa vulnerabilidade. Um vírus bem engendrado pode ter um espantoso efeito na Internet. Por outro lado, ele nos mostra quão sofisticado e interligado tornou-se o gênero humano.
Especialistas estimam que o vírus Mydoom worm (em inglês) infectou aproximadamente 250 mil computadores em um único dia, em janeiro de 2004 (Times Online - em inglês). Em março de 1999, o vírus Melissa (em inglês) foi tão poderoso que forçou a Microsoft e um grande número de outras grandes empresas a desativar seus sistemas de e-mail até que o vírus pudesse ser contido. O vírus ILOVEYOU (em inglês), em 2000, teve um efeito devastador semelhante. O impessionante é que os vírus Melissa e ILOVEYOU são muito simples.
Neste artigo, vamos discutir sobre os vírus de computador, tanto os "tradicionais" como os novos vírus de e-mail. Vamos aprender como eles funcionam e como podemos nos proteger deles. Os vírus estão em declínio mas, ocasionalmente, encontra-se uma nova maneira de se criar um, e é quando eles viram notícia.
Os vírus de computador são chamados de vírus porque compartilham algumas características com os vírus biológicos. Um vírus de computador se espalha de um computador para outro da mesma maneira que um vírus é transmitido de uma pessoa para outra.
Há também similaridades em níveis mais profundos. Os vírus biológicos não são criaturas vivas. Um vírus é um fragmento de dentro de um invólucro protetor. Diferentemente de uma célula, os vírus não têm capacidade para fazer nada, nem se reproduzirem. Não são seres vivos. Os vírus biológicos precisam injetar seu DNA nas células. O DNA do vírus usa os mecanismos existentes na célula para se reproduzir. Em muitos casos, a célula infla com o novo componente viral até se romper, liberando o vírus. Em outros casos, as novas partículas do vírus enxertam a célula de uma vez, mantendo-a viva.
Os vírus de computador compartilham algumas dessas peculiaridades. Ele precisa ser sobreposto em algum outro programa ou documento para ser executado. Quando executado, é capaz de infectar outros programas ou documentos. Obviamente, a analogia entre vírus de computador e vírus biológico exacerba um pouco os fatos, mas há similaridades suficientes para que o nome se aplique.
Quando ouvimos as notícias, conhecemos muitas formas diferentes de infecção eletrônica. Os mais freqüentes são:
- Vírus - o vírus é um pequeno trecho de programa que se sobrepõe ao programa real. Um vírus pode atacar programas, como um programa de planilhas. Cada vez que o programa de planilha é executado, o vírus também o é, tendo a chance de se reproduzir (atacando outros programas) ou causar destruição.
- Vírus de e-mail - um vírus de e-mail circula em mensagens de e-mail, geralmente replicando-se com o envio automático para dezenas de outras vítimas tiradas do catálogo de endereços do e-mail.
- Worms - o worm é um trecho de um programa que utiliza redes de computadores e falhas de segurança para se replicar. Uma cópia de um worm procura por uma outra máquina na rede que possua uma falha de segurança específica. Ele se copia na outra máquina utilizando-se da falha de segurança e então começa a se replicar a partir da outra máquina também.
- Cavalo de tróia - o cavalo de tróia é simplesmente um programa de computador. O programa alega fazer uma coisa (pode fingir ser um jogo), mas em vez disso ele causa danos quando é executado (ele pode apagar seu disco rígido). Cavalos de tróia não se replicam automaticamente.
O que é um "Worm"?
Worm é um programa de computador que tem a habilidade de se replicar de uma máquina em outra. Os worms esgotam o tempo de processamento de um computador e a capacidade da banda de uma rede quando se replicam, geralmente repletos de más intenções. O worm chamado Code Red virou notícia em 2001. Especialistas previram que ele poderia obstruir a Internet com tanta eficiência que ela poderia ser reduzida a uma rede completamente imobilizada.
Os worms movem-se continuamente infectando outras máquinas através das redes de computadores. Através da rede, um worm pode se proliferar com incrível rapidez. O worm Code Red, por exemplo, multiplicou-se mais de 250 mil vezes, em aproximadamente nove horas, em 19 de julho de 2001.
Um worm, freqüentemente, explora alguma falha de segurança em um trecho de programa ou sistema operacional. Por exemplo, o worm Slammer - link em inglês (que causou confusão e destruição em janeiro de 2003) explorou falhas no servidor SQL da Microsoft. Esse artigo (em inglês) oferece um fascinante exame do pequeno (376 bytes) programa Slammer.
O worm Code Red tornou lento o tráfego da Internet quando começou a se replicar, mas não de forma tão severa como previsto. Cada cópia do worm varreu a Internet à procura de servidores com Windows NT ou Windows 2000 que não tinham instalado o patch de segurança da Microsoft. Sempre que localizava um servidor não seguro, o worm se replicava nele. Esta nova cópia então procurava outros servidores para infectá-los. Dependendo do número de servidores não seguros, o worm poderia, de modo concebível, criar centenas de milhares de cópias.
O worm Code Red foi criado para fazer três coisas:
- replicar-se nos primeiros 20 dias de cada mês
- substituir páginas da web em servidores infectados por uma página que anunciava "Invadido por hackers chineses"
- lançar um ataque concentrado ao servidor da web da Casa Branca em uma tentativa de dominá-lo
A versão mais comum do Code Red é uma variação, comumente chamada de modo mutante, do original Ida Code Red que se replicou em 19 de julho de 2001. De acordo com o Centro Nacional de Proteção à Infra-estrutura:
O worm Ida Code Red, detectado pela primeira vez pelo eEye Digital Security, tirou vantagem das vulnerabilidades conhecidas do serviço ISAPI (Internet Server Application Program Interface) do Microsoft IIS. Sistemas sem correções de segurança são suscetíveis a um "estouro do buffer" no Idq.dll, o que permite ao atacante executar códigos embutidos nos sistemas afetados. Este worm residente na memória, uma vez ativado no sistema, tenta primeiramente propagar-se criando uma seqüência de endereços IP aleatórios para infectar servidores da web não protegidos. Cada thread (parte do programa com funcionamento em paralelo) do worm examinará o relógio do computador infectado. O NIPC determinou que a hora da execução no DOS do worm Ida Code Red era 0h00 horas de 20 de julho de 2001. Isto representava 8 horas da noite na costa leste dos Estados Unidos.
Após o sucesso da infecção, o worm deveria esperar pela hora determinada e conectar-se ao www.whitehouse.gov (em inglês) domínio. Este ataque consistiria em sistemas infectados enviando simultaneamente 100 conexões para a porta 80 do endereço www.whitehouse.gov (198.137.240.91).
O governo americano mudou o endereço IP do site www.whitehouse.gov para evitar a ameaça daquele worm e emitiu um alerta geral sobre ele, advertindo os servidores da Web que usavam o Windows NT ou o Windows 2000 para instalar o patch de segurança.
Na próxima seção veremos como e por que os vírus foram criados.
| Mais sobre o Code RedPara mais informações sobre o worm Code Red, confira estes links (em inglês): |
Como funcionam os vírus de computador
Eles são uma praga virtual, mas incomodam um bocado no mundo real. Entenda como funcionam os vírus de computador.
Origens e história
As pessoas criam os vírus. As pessoas têm de escrever os códigos, testá-los para garantir que eles se propagarão apropriadamente e então libertá-los. Elas têm de projetar a fase de ataque do vírus, se eles serão mensagens bobas ou se destruirão um disco rígido. Por que as pessoas fazem isso?
Existem pelo menos três razões. A primeira é a mesma razão que move vândalos e incendiários. O que leva alguém a querer quebrar o vidro do carro de outra pessoa ou pichar paredes ou queimar uma bela floresta? Para algumas pessoas isso parece ser excitante. Se pessoas como essas sabem programar computadores, elas podem canalizar suas energias para a criação de vírus destrutivos.
A segunda razão tem a ver com a excitação de ver as coisas irem pelos ares. Algumas pessoas têm fascinação com coisas como explosões e carros se destroçando. Provavelmente, na nossa infância, havia uma criança na vizinhança que aprendeu a fazer pólvora e bombas cada vez maiores até que se entediou com elas ou causou sérias lesões em si mesma. Criar vírus que se espalham velozmente é um pouco parecido com isso. Cria-se uma bomba dentro do computador e, quanto maior o número de computadores infectados, mais "divertidas" serão as explosões.
A terceira razão envolve, provavelmente, a excitação em fazer isso ou o desejo de vangloriar-se do feito. Uma espécie de Monte Everest. A montanha está lá, então alguém é compelido a escalá-la. Caso você seja um tipo de programador que se depara com uma falha na segurança que possa ser explorada, você pode simplesmente ser compelido a explorar essa falha antes que alguém o faça e o supere nisso. "Claro, eu poderia CONTAR a alguém sobre a falha. Mas não seria melhor MOSTRAR-LHES a falha?" Este tipo de lógica conduz à criação de muitos vírus.
É claro que muitos criadores de vírus parecem se esquecer que suas criações causam danos reais às pessoas. Destruir tudo em um disco rígido de uma pessoa é, sem dúvida, um grande mal. Forçar funcionários de grandes empresas a perder milhares de horas para se reorganizar após um ataque de vírus é realmente desastroso. Mesmo mensagens tolas causam danos às pessoas que têm de perder tempo para livrarem-se delas. Por isso, as autoridades estão endurecendo cada vez mais com as punições para os criadores de vírus.
Os tradicionais vírus de computador foram amplamente percebidos pela primeira vez no final da década de 80, e seu surgimento deve-se a vários fatores. O primeiro fator foi a proliferação dos computadores pessoais (PCs). Antes da década de 80 os computadores residenciais praticamente não existiam ou eram simples brinquedos. Computadores "de fato" eram raros e tinham o seu uso restrito aos "experts". Durante a década de 80 os computadores começaram a se difundir nos escritórios e nas casas devido à popularidade do IBM PC (lançado em 1982) e do Apple Macintosh (lançado em 1984). No final da década de 80, os PCs já estavam bem difundidos em escritórios, residências e campus universitários.
O segundo fator foi o uso dos bulletin boards (quadro de avisos) de computador. Podia-se discar para um bulletin board com um modem e baixar programas de todos os tipos. Jogos eram muitos populares, assim como processadores de textos, planilhas, etc. Os bulletin boards conduziram ao precursor dos vírus conhecido como o cavalo de tróia. Um cavalo de tróia é um programa que parece bem legal quando lemos sobre ele. Então, nós o baixamos. Quando vamos executá-lo, entretanto, ele faz coisas desagradáveis como apagar seu disco. Pensamos que estamos baixando um belo jogo, mas ele apaga nosso sistema. O cavalo de tróia infectou um pequeno número de usuários porque foi descoberto cedo. O proprietário do bulletin board pode apagar o arquivo do sistema ou enviar mensagens para alertar os outros.
O terceiro fator que impulsionou a criação de vírus foi o disco flexível. Na década de 80, os programas eram pequenos e sistemas operacionais, processadores de textos (mais alguns outros programas) e alguns documentos podiam ser colocados em 1 ou 2 discos flexíveis. Muitos computadores não tinham discos rígidos e podíamos ligar nossa máquina e carregar o sistema operacional e tudo mais com discos flexíveis. Os vírus tiraram proveito desses três fatores para criar o primeiro programa de auto-replicação.
Os primeiros vírus
No princípio, os vírus eram fragmentos de código acoplados a um simples programa, como um jogo popular ou um processador de textos qualquer. Um usuário poderia baixar um jogo infectado de um bulletin board e executá-lo. Um vírus como este é um pequeno trecho de código embutido em um verdadeiro programa maior. Qualquer vírus é projetado para ser executado primeiro quando o verdadeiro programa é executado. O vírus se auto-carrega na memória e passa a procurar ao redor para ver se pode encontrar qualquer outro programa no disco. Caso encontre um, ele o modifica adicionando o código do vírus no programa insuspeito. Em seguida, o vírus dispara o "programa real". O usuário não tem a menor chance de saber que o vírus alguma vez já foi executado. Infelizmente, o vírus já se reproduziu e agora dois programas estão infectados. A próxima vez que qualquer dos programas for executado ele infectará outro programa, e o ciclo continua.
Se um dos programas infectados for passado a outra pessoa em um disco flexível ou for carregado em um bulletin board, outros programas serão infectados. Assim os vírus se propagam.
A propagação é a fase de
infecção dos vírus. Os vírus não seriam tão temidos assim se tudo o que fizessem fosse replicarem-se. Infelizmente, a maior parte dos vírus também tem a fase destrutiva de
ataque em que produzem algum dano. Algum tipo de gatilho ativava a fase de ataque e o vírus então "fazia algo", como apresentar uma mensagem tola na tela ou apagar todos os seus dados. O gatilho pode correr em uma data específica, depender do número de vezes em que o vírus tenha se replicado ou qualquer outro fato semelhante.
Infecções e proteções típicas
Evolução do vírus
Conforme os criadores de vírus se tornaram mais sofisticados, eles aprenderam novos truques. Um truque importante foi a habilidade de carregar os vírus na memória, assim eles podiam continuar a serem executados em segundo plano sempre que o computador estivesse ligado. Isto permitia aos vírus um modo muito mais efetivo de se replicar. Outro truque foi a habilidade de infectar o setor de boot de um disco flexível e de um disco rígido. O setor de boot é um pequeno programa que é a primeira parte de um sistema operacional carregado em um computador. O setor de boot contém um pequeno programa que informa ao computador como carregar o restante do sistema operacional. Colocando seu código no setor de boot, um vírus pode garantir que será executado. Ele pode se carregar imediatamente na memória e ser executado enquanto o computador estiver ligado. Os vírus do setor de boot podem infectar o setor de boot de qualquer disco flexível inserido na máquina. Nas universidades, onde muitos usuários compartilham máquinas, eles se espalham como pragas.
Geralmente, os vírus executáveis e de setor de boot não são mais tão ameaçadores. A primeira razão para o declínio tem sido o enorme tamanho dos programas de hoje. Quase todo programa comprado, hoje em dia, vem gravado em um CD. Estes CDs não podem ser modificados, o que torna o CD imune à infecção. Os programas são tão grandes que a melhor maneira de transportá-los é comprar o CD. Os usuários não podem transportar seus aplicativos em discos flexíveis como se fazia na década de 80, quando discos flexíveis repletos de programas eram trocados como figurinhas. Houve um declínio dos vírus de setor de boot também porque os sistemas operacionais agora protegem este setor.
Os vírus de setor de boot e os executáveis ainda são possíveis, mas não se espalham com a rapidez que já o fizeram no passado. Isto é chamado de "habitat reduzido", se quisermos usar uma analogia biológica. O ambiente dos discos flexíveis, programas pequenos e sistemas operacionais frágeis tornaram esses vírus possíveis na década de 80, mas aquele ambiente foi eliminado por enormes e imutáveis CDs e por sistemas operacionais com sistemas de proteção aperfeiçoados.
A última aparição no mundo dos vírus dos computadores foi o vírus de e-mail, e o destruidor vírus Melissa (em inglês) em março de 1999. O Melissa se propagou pelos documentos Microsoft Word enviados via e-mail, e funcionava assim:
Alguém criou o vírus como um documento Word e o carregou em um grupo de notícias da Internet. Qualquer um que baixasse o documento e o abrisse podia disparar o vírus. O vírus poderia então enviar o documento (e conseqüentemente ele mesmo) em uma mensagem de e-mail para as primeiras 50 pessoas do catálogo de endereços de um usuário. A mensagem de e-mail continha uma nota amigável que incluía o nome da pessoa, então o destinatário abria o documento pensando ser seguro. O vírus então criava 50 novas mensagens a partir da máquina do destinatário. Resultado: a propagação do vírus Melissa foi a mais rápida da história! Como já mencionamos, ele forçou um grande número de empresas a desativarem seus sistemas de e-mail.
O vírus ILOVEYOU (em inglês), quando surgiu, em 4 de maio de 2000, era bastante simples de se entender. Ele continha um trecho de código como um anexo. Quem desse um duplo clique no anexo permitia a execução do código. O código enviava cópias de si mesmo para todos do catálogo de endereços da vítima e começava a corromper os arquivos na máquina da vítima. Isto é o mais simples que um vírus pode ser. De fato, ele é mais um cavalo de tróia distribuído por e-mail do que propriamente um vírus.
O vírus Melissa tirou vantagem da linguagem de programação embutida no Microsoft Word chamada VBA, ou Visual Basic for Applications. Esta é uma linguagem de programação completa e pode ser programada para modificar arquivos e enviar mensagens de e-mail. Ela também tem um útil, mas perigoso, recurso auto-executável. Um programador pode inserir um programa dentro de um documento que é executado instantaneamente quando o documento é aberto. O vírus Melissa foi programado desta forma. Qualquer um que abrisse o documento infectado com o Melissa ativava imediatamente o vírus. Ele enviava os 50 e-mails e depois infectava um arquivo central chamado NORMAL.DOT para que todos os arquivos salvos contivessem o vírus, o que criou uma grande confusão.
Os aplicativos da Microsoft possuem uma função chamada macro de proteção de vírus desenvolvida para prevenir esse tipo de infecção. Com a macro de proteção de vírus ativada (a opção básica é definida como ON), o recurso de auto-execução é desabilitado. Sempre que um documento tentar executar um código infectado, uma caixa pop-up alertará o usuário. Infelizmente, muitas pessoas não sabem o que são macros ou vírus de macro e quando vêem a caixa de diálogo, simplesmente as ignoram e os vírus são executados. Outras desativam o mecanismo de proteção. Então, o vírus Melissa se alastra apesar das proteções existentes para evitá-lo.
No caso do vírus ILOVEYOU, tudo era ligado pela vontade do usuário. Se uma pessoa desse um clique duplo no programa que vinha como um anexo, esse programa executava suas funções. O que impulsionava este vírus era a vontade do usuário de dar clique duplo no arquivo executável.
Como proteger o seu computador dos vírus
Podemos nos proteger dos vírus seguindo alguns simples passos:
- Se você realmente se preocupa com os vírus tradicionais (não os vírus de e-mail), deve executar um sistema operacional mais seguro como o UNIX. Você nunca ouve falar de vírus nestes sistemas operacionais porque seus recursos de segurança mantêm os vírus (e visitantes humanos indesejados) longe do seu disco rígido.
- Se você utiliza um sistema operacional sem segurança, comprar um programa de proteção contra vírus é uma boa defesa.
- Basta você evitar programas de fontes desconhecidas (como a Internet) e comprá-los por meio de CDs comerciais, eliminando quase todos os riscos de ser infectado por qualquer tipo de vírus. Você também pode desabilitar o boot dos discos flexíveis, função presente em muitos computadores de hoje, eliminando o risco de contaminação por vírus vindos de discos flexíveis acidentalmente deixados na unidade de disco.
- Certifique-se de que a macro de proteção de vírus está ativada em todos os aplicativos Microsoft e NUNCA execute macros em um documento a menos que saiba o que ela faz. Raramente existe uma boa razão para se adicionar macros a um documento. Evitar todas as macros é uma boa política.
Abra a caixa de diálogo Opções do menu Ferramentas no Microsoft Word e certifique-se de que "Macro de proteção de vírus" está ativada, como mostrado |
- Você nunca deve dar um duplo clique em um anexo que contenha um arquivo executável que chegue como anexo de e-mail. Anexos que acompanham arquivos do Word (.DOC), planilhas (.XLS), imagens (.GIF e .JPG), etc., são arquivos de dados e podem não causar danos (lembrando o problema dos vírus de macro em documentos Word ou Excel mencionados acima). Arquivos com extensões EXE, COM ou VBS são executáveis e podem causar todos os tipos de danos que você possa imaginar. Sempre que você executa esses arquivos, dá permissão para que façam de tudo em sua máquina. A única defesa é nunca rodar arquivos executáveis que cheguem via e-mail.
Seguindo esses passos, você pode ficar longe dos vírus. Para mais informações sobre vírus de computador e assuntos relacionados, confira os links na próxima página.
0 comentários:
Postar um comentário